Spammails an Postfach

[pg-computer]

Hallo,

hab hier was unerklärliches ;-)
Folgender Sachverhalt... ein Kollege von mir hat auf meinem Server 50 solche E-Mails bekommen innerhalb 2 Minuten

Return-Path: <rovok@rovok.de>
Received: from rovok.de (p3E9BBCF1.dip.t-dialin.net [62.155.188.241])
by server1.pg-tw-server.de (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) with SMTP id h3CLLMe24123
for <rovok@rovok.de>; Sat, 12 Apr 2003 23:21:22 +0200
Message-Id: <200304122121.h3CLLMe24123@server1.pg-tw-server.de>
Received: by rovok.de ; Sat, 12 Apr 2003 23:21:16 +0000
From: root@server1.pg-tw-server.de
To: rovok@rovok.de
Date: Sat, 12 Apr 2003 23:21:16 +0000
Subject: Hacker Attack Alarm!
X-UIDL: X3h"!$-R"!J4I!!&Jb"!


Sat Apr 12 23:21:16 2003 Possible UDP FLOOD from 212.185.253.70 (00:b0:64:95:54:07) against 62.155.188.241, recieved 1 packets


Im Sendmail Logfile wiederum steht aber:
Apr 12 23:21:52 server1 sendmail[24182]: h3CLLpe24181: to=<rovok@rovok.de>, ctladdr=<rovok@rovok.de> (552/103), delay=00:00:01, xdelay=00:00:00, mailer=local, pri=30141, dsn=2.0.0, stat=Sent
Apr 12 23:21:55 server1 sendmail[24185]: h3CLLse24185: from=<rovok@rovok.de>, size=288, class=0, nrcpts=1, msgid=<200304122121.h3CLLse24185@server1.pg-tw-server.de>, proto=SMTP, daemon=MTA, relay=p3E9BBCF1.dip.t-dialin.net [62.155.188.241]

Das passt ja gar nicht zusammen... da steht von rovok@rovok.de im Sendmail Log, bei Kollege ist aber von root@server1.pg-tw-server.de ...

Ich blick hier absolut derzeit nicht mehr durch!

Vielen Dank im Voraus!

[dodolin]

Return-Path: <rovok@rovok.de>

[...]

Das passt ja gar nicht zusammen... da steht von rovok@rovok.de im Sendmail Log, bei Kollege ist aber von root@server1.pg-tw-server.de ...

Das passt einwandfrei zusammen und ist völlig in Ordnung. Ein MTA schaut sich nur den Envelope an und stellt anhand dieses seine Mails zu. Was in den anderen Headern (From:, To:, ...) steht, interessiert ihn nicht die Bohne.

Lesetipps:
http://www.th-h.de/faq/headerfaq.php3 (komplett)
http://home.snafu.de/laura/de.admin.net-abuse.mail.txt (speziell FAQ, Frage 4)

[pg-computer]

Hoi Hoi,

Vielen Dank!
und wie konnte sowas passieren? Was ist hier genau von statten gegangen?

Smtp Auth ist AKTIV! also der Server ist kein Open Relay Server!

Gruß

Peter

[dodolin]

Was ist hier genau von statten gegangen?

Wenn ich hier jetzt telnet Access nach draussen hätte, würde ich es dir vormachen, so aber muss ich mich mit den Kommandos begnügen:

p3E9BBCF1.dip.t-dialin.net [62.155.188.241] hat folgendes gemacht:

Code: Select all

host -t mx rovok.de

Das Ergebnis wird im nächsten Befehl als $MX_HOST eingesetzt. Zwischen den Zeilen muss man jeweils die Antwort des Servers abwarten. Kannst du auch selbst ausprobieren... :)

Code: Select all

telnet $MX_HOST 25
helo rovok.de
mail from: <rovok@rovok.de>
rcpt to: <rovok@rovok.de>
data
Received: by rovok.de ; Sat, 12 Apr 2003 23:21:16 +0000 
From: root@server1.pg-tw-server.de 
To: rovok@rovok.de 
Date: Sat, 12 Apr 2003 23:21:16 +0000 
Subject: Hacker Attack Alarm! 
X-UIDL: X3h"!$-R"!J4I!!&Jb"! 


Sat Apr 12 23:21:16 2003 Possible UDP FLOOD from 212.185.253.70 (00:b0:64:95:54:07) against 62.155.188.241, recieved 1 packets 
.
quit

PS: SMTP-Protokoll (RFC 2821, IIRC) lesen und verstehen hilft. :)

[pg-computer]

Hoi Hoi,

die IP hatte der Kollege zu der Zeit selber ;-)
naja da muss wohl bei ihm lokal was passiert sein, denn nur er war ja fürs Versenden authorisiert, also genau diese IP...
genau deswegen hab ich mich ja so gewundert!!!

nun gut, dann will ich mal SMTP lesen! :lol:

Thx nochmal!

Gruß und schönen Sonntag

Peter

[dodolin]

denn nur er war ja fürs Versenden authorisiert, also genau diese IP

Um eine Mail an eine Domain zu senden, für die dein MX zuständig ist (bei sendmail steht das z.B. in /etc/mail/local-host-names per Default), braucht sich niemand zu authentifizieren, sonst könntest du ja überhaupt keine Mail empfangen. Authentifizierung ist nur nötig, wenn "irgendwer" Mails nach "irgendwo" (=! local) schicken will.

[pg-computer]

hoi hoi dodolin,

ahja stimmt ja ;-)
Kann man das trotzdem irgendwie verbieten innerhalb meines MX Eintrages?
server1:/etc/mail # ls
. access aliases linux.nullclient.mc sendmail.cw userdb.db
.. access-basic genericstable mailertable service-nodns.switch virtusertable
Makefile access-old genericstable.db mailertable.db service.switch virtusertable.db
README access.db linux.mc relay-domains userdb
server1:/etc/mail #

das sind die Files... im etc/mail

[dodolin]

Kann man das trotzdem irgendwie verbieten innerhalb meines MX Eintrages?

Was genau meinst du damit? Was willst du verbieten?

[pg-computer]

Hoi Hoi,

naja es muss doch jemand extern diese 50 Mails verschickt haben... er wars angeblich nicht.. das ist ja das komische ;)
In dem Sinne ist ja innerhalb des Mailservers die Sache ungefährlich wenn ich das richtig sehe..
würde das trotzdem gern dicht machen, wenns irgendwie geht.. :roll:

Gruß

Peter

[dodolin]

naja es muss doch jemand extern diese 50 Mails verschickt haben... er wars angeblich nicht.. das ist ja das komische

Oben schriebst du:

die IP hatte der Kollege zu der Zeit selber

Wenn das da oben der komplette Header der Mail ist, dann hat definitiv dieser t-dialin Host diese Mail versendet. Wenn er diese IP hatte, dann war er es auch. Soll halt mal seinen Rechner von diversen Würmern befreien, die sich selbst verschicken!

würde das trotzdem gern dicht machen, wenns irgendwie geht..

Was willst du da "dicht" machen? Ich verstehe es nicht.
Wenn du für die Domain rovok.de zuständig bist und wenn es den user rovok in dieser Domain gibt, wirst du nicht verhindern können, dass Mails an rovok@rovok.de zugestellt werden. Es gibt AFAIK kein "ratelimit" auf SMTP-Ebene. Der Sinn von SMTP besteht doch gerade darin, dass man Mails verschicken und empfangen kann.

Woher sollte denn der MTA wissen, wer 50 Mails schicken darf und wer nicht?

[pg-computer]

Hoi Hoi,

das ist klar... dass der MTA Mails verschickt und empfängt! ;-)
Ich glaube wir reden irgendwie ein bisschen aneinander vorbei..

Es ging nur darum, dass das niemand per Telnet machen kann von rovok.de an rovok.de, ist klar, das bleibt local, da ja mein Mailserver dafür zuständig ist, genauso von einer anderen Domain pg-computer.com, wo der MX Eintrag auf die selbe IP geht, ist überall der gleiche Mailserver... erst wenn ein anderer zuständig ist, dann wird geguckt ob relayed werden darf oder nicht, also wer berechtigt zum Versenden ist, geht das innerhalb des Mailservers nicht auch irgendwie, weil sonst könnte ja einer von extern sagen telnet mail.rovok.de 25 und dann von rovok@rovok.de an rovok@rovok.de und die Mail wird zugestellt, ist ja logisch, nur das kann ja auch extern (telnet) jemand machen, das wollte ich eben irgendwie verhindern ;-)
Aber scheinbar geht das doch nicht oder wir reden irgendwie aneinander vorbei :roll:

Trotzdem Danke für deine Geduld! :-D


Gruß

Peter

[dodolin]

weil sonst könnte ja einer von extern sagen telnet mail.rovok.de 25 und dann von rovok@rovok.de an rovok@rovok.de und die Mail wird zugestellt, ist ja logisch, nur das kann ja auch extern (telnet) jemand machen,

Exakt. Und mir ist kein Weg bekannt, das zu verhindern. Ausser, dein MTA hätte wirklich äusserst gute ACL Möglichkeiten - was ich aber bei sendmail bezweifeln würde.

Wenn ich dann irgendwann an meinem Exim 4 Howto bastle, werde ich mal schauen, ob man sowas implementieren kann.

Wichtig dabei ist halt, dass man nicht komplett und ohne Prüfung Envelope-From: mit der eigenen Domain sperrt, da man sich sonst ja selbst aussperrt. Aber IMHO würde es Sinn machen, genau dann zu sperren, wenn RCPT TO: und MAIL FROM: identisch sind. Nicht nur die Domains (sonst könnte man z.b. nicht an andere User dieses Server mailen), sondern wenn die kompletten Adressen in beiden Feldern übereinstimmen. Genau dieses Merkmal wird nämlich gerne von Spammern benutzt. Und dass ich mir selbst eine Mail schicke, dürfte ziemlich unwahrscheinlich sein...

[pg-computer]

Hoi Hoi,

ah gut, jetzt haben wirs! ;-)

Naja ich verwende Sendmail, mir wäre da kein Weg bekannt, sowas zu sperren... 8)

Gruß

Peter